Браузеры

Прослушивание GSM с помощью HackRF. Большой FAQ по перехвату мобильной связи: IMSI-кетчеры и как от них защититься Могут ли они слушать мои звонки

10.04.2023

Перехват радио и сотовой связи

Чтобы перехватить разговор с радиотелефона, обладать особенной аппаратурой не требуется. Достаточно знать, в каком диапазоне частот работает устройство, и подключиться к данной частоте перехватчиком.

Для перехвата разговоров по сотовой связи необходимо иметь в наличии более сложную аппаратуру. Как уже говорилось, мобильные компании тщательно шифруют свои сигналы, поэтому перехватить и распознать их не так-то просто. Комплексы перехвата и контроля сотовой связи марки AMPS или NMT-450i изготавливаются в странах Западной Европы и на просторах Российской Федерации.

Работа комплексов заключается в обнаружении входящих и исходящих сигналов, образующихся при поступлении звонков, отслеживании номеров абонентов, привязанных к данному разговору, отслеживании за перемещением контролируемого абонента во время телефонного разговора.

Количество одновременно прослушиваемых абонентов зависит от мощности устройства и установленного программного обеспечения.

В среднем, комплекс перехвата и слежения сотовой связи способен контролировать сразу 14 абонентов или семь телефонных звонков. Некоторые приборы дополнительно оборудуется магнитофонами и диктофонами для одновременной записи разговоров. Информация передается на жесткий диск прикрепленного ЭВМ или сохраняется на карте памяти самого устройства. Комплекс полностью контролирует «жизнь» абонента, осуществляя постоянный мониторинг его звонков и сообщений.

Цена на подобные комплексы зависит от их мощности и количества одновременно контролируемых абонентов. В денежном эквиваленте колеблется в районе 10-50 тысяч долларов. Стоит учитывать тот факт, что перехватить и подавить GSM связь гораздо сложнее. Ученые Британии и Германии работают над созданием перехватывающих комплексов, и на данный момент их стоимость составляет порядка 500 тысяч долларов.

Передача акустической информации по линиям электропередач

Данные передатчики или сетевые закладки встраиваются в электрические приборы, питающиеся от стационарной сети в 220 вольт. Иногда сетевые закладки встраиваются в сами розетки. Устройство состоит из микрофона, усилителя и низкочастотного передатчика. Диапазон частот - 10-350 кГц.

Устанавливать высокочастотные передатчики не имеет смысла, поскольку их проще обнаружить. Прием сигналов и их передача происходит по одной электрической фазе.

Если фазы отличаются, в качестве связующего компонента используется конденсатор. Устройство приема акустической информации изготавливается под заказ. Однако, с его задачами отлично справится блок бытовых переговорных устройств.

Продаются они в любом радиотехническом магазине. Передатчики информации встраивают в электрические приборы и питаются энергией с их помощью. Обнаружить сетевые закладки сложно, поскольку при сканировании радио эфира любая электронная машина будет создавать помехи.

В Российской Федерации разработан и используется в эксплуатации комплекс перехвата и расшифровки сообщений на пейджер, который можно встретить в продаже во всех странах СНГ.

Комплекс состоит из миниатюрной ЭВМ, на котором устанавливается соответствующее программное обеспечение, приемника и преобразователя сигналов с пейджера. В качестве приемного устройства применяется радио сканер AR3000 или радиостанция.

Комплекс осуществляет перехват :

  • текстовых;
  • звуковых;
  • цифровых сообщений.

Которые в свою очередь отправлены с использованием радио пейджинговой связи.

Раскодированные сообщения сохраняются на жестком диске в архивном файле, а в названии файла указывается время и дата сообщения. На жестком диске ЭВМ можно отфильтровать сообщения одного абонента, отфильтровать все сообщения в заданном интервале времени или производить другие действия с полученными файлами. Параметры поиска и фильтрации меняются.

Заместитель директора по развитию Керимов Ростислав.

Перехват GSM
*GSM 900* Перехват
Изделие *GM* предназначено для приема и обработки сигналов
стандарта GSM-900, 1800 как при отсутствии так и при наличии криптозащиты
(алгоритмы А5.1 и А5.2).
“GM” позволяет:
- контролировать прямой управляющий или голосовой канал (излучение
базы)
- контролировать обратный управляющий или голосовой канал (излучение
трубки)
- сканировать все каналы в поиске активных в данном месте
- сканировать каналы выборочно и задавать время их пересканирования
- организовать сквозное прослушивание
- организовать выборочное прослушивание по известным TMSI, IMSI, IMEI,
номеру АОН, Ki.
- автоматически вести запись разговора на жёсткий диск
- контролировать разговор без записи
- вести поиск активного абонента (для открытых каналов)
- фиксировать номер набираемый сотовым абонентом
- фиксировать номер телефона звонящего на сотовый аппарат (при
включенной системе АОН)
- отображать все регистрации в канале
Изделие содержит два приёмных канала - прямой и обратный.
При отсутствии криптозащиты *GM* может работать в двух режимах:
- поиск активного мобильного абонента.
При наличии криптозащиты только в режиме
- контроль управляющего канала станции (прямого и обратного);
При контроле управляющего канала станции *GM* определяет следующие
параметры для каждого соединения:
- IMSI или TMSI (в зависимости от режима работы контролируе-
мой сети, эти сигналы передаются базовой станцией);
- IMEI (при его запросе базовой станцией и при энергетической

Доступности мобильного абонентатак как при этом фиксируется излучение
трубки);
- набираемый номер (при соединении по инициативе мобильного
абонента и при его энергетической доступноститак как при этом фиксируется
излучение трубки);
- номер АОН (при его передаче базовой станцией).
В режиме поиска активного абонента контролируется любое очередное
соединение. В этом режиме *GM* постоянно просматривает весь диапазон и
при обнаружении активного абонента переходит в режим контроля (конечно
если абонент в данный момент говорит,так как аппарат включает передатчик
только на время разговора). При необходимости (если данный разговор не
интересует) оператор может сбросить режим контроля и “GM” снова перейдёт
в режим сканирования пока не найдет другого активного абонента. Режим
поиска активного абонента целесообразно использовать при сопровождении. В
данном режиме работы *GM* не определяет идентификаторы абонента!
При контроле управляющего канала базовой станции возможны два варианта
работы:
- в сквозном режиме
- в режиме отбора по признакам
В сквозном режиме на контроль становится первый попавшейся разговор в
контролируемой соте, а также отображаются все регистрации. Если данный
разговор не интересен, то контроль можно прекратить нажатием кнопки
“Break”.
В режиме отбора контролируются только соединения с заданным
TMSI, IMSI, IMEI, номером АОН или набираемым номером. Список отбора
включает до 200 идентификаторов. В случае контроля канала закрытого
криптом режим отбора осуществляется по известному Ki, который позволяет
однозначно идентифицировать абонента без задания TMSI, IMSI или IMEI.
При этом список отбора включает до 40 абонентов.
*GM* выполнен в виде моноблока размером 450x250x50 мм. Управление
работой *GM* осуществляется от внешней ПЭВМ (возможно подключение
ноутбука) через последовательный порт RS-232.
В комплект поставки входит устройство с программным обеспечением,
позволяющее считывать параметр Ki с СИМ карты, чтение происходит в
пределах 10 часов.
Питание *GM* осуществляется от сети переменного тока 220В. так и
постоянного напряжением 12 В, например от бортовой сети автомобиля.
Под заказ возможно изготовление каналов в диапазоне 1800Мгц и 450Мгц.

Аббревиатура и обозначения
TMSI – временный идентификатор (номер) подвижного абонента
IMSI – международный идентификационный номер подвижного абонента
IMEI – международный идентификационный номер оборудования
подвижной
станции
Ki – индивидуальный ключ аутенфикации абонента
1. Комплекс предназначен для приема сигналов системы ТТТ.
2. Комплекс имеет два канала приема и обработки - один в верхнем и один в нижнем участке диапазона.
3. Комплекс обеспечивает настройку на любой из 124 возможных каналов управления.

4. При работе комплекса возможно два режима:
- без отбора;
- с отбором.
Таблица отбора может включать до 40 идентификаторов.
Идентификатор состоит из IМSI и IМЕI (возможно задание только IMSI или только IMEI).
Комплекс осуществляет отбор по IМSI, IМЕI и ТМSI. Отбор по ТМSI после включения комплекса
обеспечивается только после получения команды с заданным IМЕI или IМSI.
Внимание! IМЕI - идентификационный номер трубки (определяется ее производителем). IМSI -
международный идентификационный номер абонента (записан в SIМ карте). В общем случае нет прямого
соответствия городскому номеру абонента. Таблица соответствия задается оператором (компанией, выдающей
трубки).
5. Обеспечивается определение исходящего номера.
6. Обеспечивается отработка режима handover.
7. Не обеспечивается обработка в соответствии с алгоритмами А5.
8. Управление комплексом осуществляется программой под Windows по последовательному порту.
9. Регистрация может осуществляться как на магнитофон, так и на саунд-бластер.
10. По включению питания комплекс переходит в режим поиска активного абонента. При его обнаружении
комплекс переходит в режим приема. Предусмотрен сброс абонента. В данном режиме управление от
компьютера не требуется. В данном режиме идентификаторы абонента не определяются.
После запуска управляющей программы комплекс переходит в режим контроля заданного канала
управления (обеспечивается выполнение пунктов 3 … 5).

КРАТКОЕ ОПИСАНИЕ СИСТЕМЫ.
Широкое использование системы началось в 1993 году с момента создания компании МТС и
получения разрешения на использование диапазона 890 - 915 МГц и 935 - 960 МГц без 10 МГц,
предназначенных для работы РЛС.
По данным открытой печати в настоящее время в России насчитывается от 180 до 220 тысяч
пользователей. Система по экономическим показателям является достаточно дорогой и ее пользователями, как
правило, является прослойка общества, относящаяся к так называемому среднему классу (как минимум).
Данный факт создал предпосылки и необходимость разработки средств контроля за информацией,
циркулирующей в сети системы.
Настоящий стандарт получил широкое распространение в районах с большой плотностью населения.
В настоящее время система развернута и находится в эксплуатации в ниже перечисленных городах:
- МОСКВА;
- САНКТ-ПЕТЕРБУРГ;
- САМАРА;
- ТОЛЬЯТТИ;
- РОСТОВ на ДОНУ;
- КАЛУГА;
- СЕВЕРОДВИНСК;
- МУРМАНСК;
- СМОЛЕНСК;
- ТУЛА;
- ПСКОВ;
- РЯЗАНЬ;
- ВЛАДИМИР;
- АРХАНГЕЛЬСК;
- ПЕТРОЗАВОДСК.
- КИЕВ
- ДНЕПРОПЕТРОВСК
- ДОНЕЦК
- ОДЕССА
Также заканчивается ввод системы в некоторых других городах, например ЯРОСЛАВЛЬ.
В стандарте обеспечен автоматический роуминг приблизительно с 58 странами мира.

К достоинствам системы относятся цифровой способ передачи данных, большое количество
одновременно обслуживаемых абонентов, трудность создания двойников (клонирование SIM-карты), удобство
работы абонента, возможность определения похищенных аппаратов при использовании легальных SIM-карт и
т.д.
Вышеперечисленные факторы определили целесообразность создания средств контроля.
ОСНОВНЫЕ АЛГОРИТМЫ ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСА.
Алгоритмы обработки радиотрафика обеспечивают наиболее полный и качественный доступ к
информации, циркулирующей в сети, а также позволяют наращивать возможности комплекса при появлении
новых стандартов без изменения основного программного обеспечения путем добавления дополнительных
модулей. К ним, к примеру, относится планируемое появление вокодера с повышенным качеством речи,
передачи данных и факсимильных передач. При опытной эксплуатации комплекса возможна доработка
режимов под конкретные задачи пользователя.
Комплекс используется в стационарном и мобильном вариантах.
РЕЖИМЫ РАБОТЫ.
(базовый комплект поставки)
Режим сканирования позволяет определить видимые частоты базовых станций в точке стояния, а также
основные параметры сети. В процессе работы обеспечивается выбор времени анализа конкретной частоты и
анализируется режим работы каналов управления. Данный режим позволяет обеспечить оптимальную
конфигурацию приемного тракта. Выбранная конфигурация может быть оперативно загружена или сохранена.
Режим ручного сканирования № 1 обеспечивает автоматическое определение загруженных каналов
видимых частот с индикацией наличия активности. Позволяет оператору выбрать на просмотр активные
речевые слоты. При наличии абонента в зоне радиовидимости обеспечивает прием дуплекса.
Режим ручного сканирования № 2 обеспечивает автоматическую перестройку по видимым частотам с
остановкой на активных частотных слотах и формирование до четырех дуплексов в режиме конечного
автомата. При отключении активного канала автосканирование продолжается. Возможно продолжить
сканирование по командам оператора. Данный режим позволяет в автомате произвести фиксацию переговоров
при отсутствии или наличии оператора максимально возможного числа каналов. Используется в основном при
низкой активности трафика, например при отсутствии оператор в ночное время или при малом количестве
видимых частот. Обеспечивает прием дуплекса при наличии последнего в зоне радиовидимости.
Режим работы по временным номерам позволяет на выбранных каналах управления (не более шести)
обеспечить автоматическую настройку на временные номера абонентов с ведением статистики, а при выборе
абонента представляющего интерес по полученным сведениям или при перерегистрации в сети при работе в
мобильном варианте, занести его в базу данных и постоянное отслеживание при непрерывном контроле.
Вероятность постоянного контроля зависит от количества перекрестных частот (при 10-12 вероятность
составляет 80 %), а также от скорости перемещения (до 80 км/ч по стандарту используемого сигнала).
Дополнительный комплект поставки.
Режим энергетического определения № 1 обеспечивает определение энергетически доступных
определением активных частот и выдачу результата оператору, по команде последнего производится
постановка канала на прием с одновременным приемом дуплекса. Количество каналов приема - до четырех
дуплексов.
Режим энергетического определения № 2 обеспечивает определение энергетически доступных
абонентов в диапазоне работы переносных аппаратов. Позволяет обеспечить автосканирование диапазона с
определением активных частот и автоматическую настройку на активные слоты с фиксацией переговоров. По
окончании сеанса автоконтроль продолжается.
При расширенном варианте поставляется модуль позволяющий определить и идентифицировать, при
наличии в зоне радиовидимости переносного аппарата, номер фиксированного или мобильного абонента при
вызове в направлении на базовую станцию, а также при прохождении номера IMEI произвести идентификацию
абонента.
Регионы по России, где абоненты МТС могут пользоваться услугами связи:
(данные на 6 апреля)
1. МТС
Москва, Московская обл., Тверь, Тверская обл., Сыктывкар, Ухта, Кострома, Республика Коми.
2. Русская Телефонная Компания (РТК) - подключены к коммутатору МТС

Владимир, Владимирская обл., Калуга, Калужская обл., Псков, Рязань, Рязанская обл., Смоленск,
Смоленская обл., Тула, Тульская обл.
3. Реком
Орел, Липецк.
4. Тамбовская электросвязь
Тамбов, Мичуринск.
5. Национальный роуминг
Город, оператор Зона обслуживания
1. Санкт-Петербург
Северо-Западный GSM
(250 02)
Архангельск,
Вологда,
Ленинградская обл.,
Мурманск,
Новгород Великий,
Петрозаводск,
Северодвинск,
Череповец
2. Самара
СМАРТС
(250 07)
Астрахань,
Тольятти,
Уфа
3. Ростов-на Дону
Донтелеком
(250 10)
Азов,
Таганрог
4. Краснодар
Кубань GSM
(250 13)
Адлер, Анапа,
Геленджик,
Горячий Ключ,
Дагомыс, Ейск,
Лазаревская, Мацеста,
Красная Поляна,
Динская, Новороссийск,
Туапсе, Сочи,
Тимашевск, Темрюк,
Крымск, Хоста
5. Екатеринбург
Уралтел
(250 39)
6. Нижний Новгород
НСС
(250 03)
(!!! Для исходящей связи необходим
международный доступ)
7. Ставрополь
СтавТелеСот
(250 44)
Ессентуки,
Невиномысск,
Кисловодск,
Пятигорск,
Минеральные Воды
8. Новосибирск
ССС 900
(250 05)
9. Омск
Мобильные системы связи
(250 05)
10. Сургут
Ермак RMS
(250 17)
Лангепас,
Нижневартовск,
Мегион,
Ханты-Мансийск,
Нефтюганск
11. Хабаровск
Дальневосточные сотовые
системы-900
10
(250 12)
12. Калининград
ЭКСТЕЛ
(250 28)
Международный роуминг
Страна Операторы
1. Австрия 1. MobilKom
2. max.mobil. Telecoms Service
3. CONNECT
2. Авcтралия 4. Telstra
3. Азербайджан (СНГ) 5. Azercell
4. Андорра 6. STA
5. Бахрейн 7. Batelco
6. Бельгия 8. Belgacom Mobile
9. Mobistar S.A.
7. Берег Слоновой Кости 10. SIM
8. Болгария 11. MobilTel AD
9. Великобритания 12. Vodafone Ltd.
13. Cellnet
14. Orange GSM-1800
10. Венгрия 15. Westel 900 GSM Mobile
16. Pannon GSM
11. Германия 17. DeTeMobile (D-1)
18. Mannesmann Mobilfunk (D-2)
12. Греция 19. Panafon S.A.
20. STET Hellas
13. Грузия (СНГ) 21. Geocell
22. Magticom Ltd
14. Гонконг 23. Hong Kong Telecom CSL
24. Hutchison Telephone Comp.
25. SmarTone Mobile Communications
15. Гибралтар 26.Gibtel
16. Дания 27. Sonofon
28. TeleDanmark Mobil A/S
17. о. Джерси 29. Jersey Telecoms
18. Италия 30. TIM
31. Omnitel Pronto Italia S.p.A.
19. Исландия 32. Lands siminn
33. TAL
20. Испания 34. Airtel Movil, S.A.
35. Telefonica Moviles
21. Индонезия 36. Satelindo
37. PT Excelcomindo Pratama
38. Telkomsel
22. Ирландия 39. Eircell
40. Esat Digifone
23. Кипр 41. CYTA
24. Китай 42. China Telecom
25. Латвия 43. LMT
44. Baltcom GSM
26. Литва 45. Bite GSM
46. Omnitel
27. Ливан 47. LibanCell
48. FTML S.A.L.
28. Люксембург 49. P&T Luxembourg
50. Tango
29. о. Мэн 51. Manx Telecom Ltd.
30. Макао 52. CTM
31. Македония 53. GSM MobiMak
11
32. Маврикий 54. Cellplus
33. Малайзия 55. Celcom
34. Мальта 56. Telecell Limited
57. Vodafone Malta
35. Молдова 58. Voxtel
36. Норвегия 59. Telenor Mobil AS
60. NetCom GSM as
37. Новая Зеландия 61. BellSouth New Zealand
38. Нидерланды 62. Libertel B.V.
63. KPN Telecom
64. Telfort
39. ОАЭ 65. Etisalat
40. Португалия 66. Telecel
67. TMN
41. Польша 68. Polska Telefonia Cyfrowa (ERA)
69. Polkomtel S.A.
70. Centertel GSM-1800
42. Румыния 71. MobilFon SA
72. MobilRom
43. США 73. Omnipoint
44. Сингапур 74. SingTel Mobile (GSM 900/1800)
75. MobileOne
45. Словакия 76. Globtel
77. EuroTel Bratislava
46. Словения 78. Mobitel
47. Тайланд 79. Advanced info Service (AIS)
48. Тайвань 80. Chunghwa Telecom LDM
81. GSM PCC
82. FarEasTone
83. Mobitai Communications Corp.
49. Турция 84. Telsim
85. Turkcell
50. Узбекистан 86. Coscom
51. Украина 87. UMC
88. Kyivstar
89. URS
52. Финляндия 90. Oy Radiolinja Ab
91. Sonera
53. Франция 92. SFR
93. France Telecom
54. Хорватия 94. HPT
55. Чехия 95. EuroTel Praha
96. RadioMobil
56. Швеция 97. Europolitan AB
98. Comviq GSM AB
99. Telia Mobile AB
57. Швейцария 100. Swiss Telecom PTT
58. Шри Ланка 101. MTN
59. Эстония 102. EMT
103. Radiolinja Eesti
104. AS Ritabell
60. Югославия 105. Mobtel *Srbija* BK-PTT
106. ProMonte (Черногория)
61. Южная Африка 107. MTN
108. Vodacom (Pty) Ltd

Ее можно заказать!
Делайте выводы.

Не так давно я изучал возможности HackRF по анализу трафика GSM сетей, синхронизирующий сигнал устройства несколько плавает, но в любом случае результатом будет доступ к различным системным сообщениям. Далее я предполагаю, что у вас установлен linux с gnuradio, а также вы являетесь счастливым обладателем hackrf. Если нет, вы можете использовать live cd, информация о котором есть в разделе «Программное обеспечение» форума. Это отличный вариант, когда hackrf работает прямо «из коробки».

Сначала нам необходимо определить частоту местной GSM станции. Для этого я использовал gprx, который включен в состав live cd. После анализа частот в районе 900 МГц вы увидите что-то вроде этого:

Вы можете увидеть постоянные каналы на 952 МГц и на 944.2 МГц. В дальнейшем эти частоты будут отправными точками.

Теперь же с помощью следующих команд мы должны установить Airprobe.

git clone git://git.gnumonks.org/airprobe.git

git clone git://git.gnumonks.org/airprobe.git

Cd airprobe/gsmdecode
./bootstrap
./configure
make

Cd airprobe/gsm-receiver
./bootstrap
./configure
make

Установка завершена. Теперь мы можем принимать GSM сигнал. Запустим wireshark с помощью команды

В качестве приемного устройства выберите «lo», а в качестве фильтра выберите gsmtap, как показано на следующем рисунке:

Теперь вернитесь в терминал и введите

cd airprobe/gsm-receiver/src/python
./gsm_receive_rtl.py -s 2e6

Откроется всплывающее окно, и вам необходимо будет отключить автоматический сбор, а также перевести слайдер на максимум. Далее вводим GSM частоты, полученные ранее, в качестве средней частоты.

Также выбираем пиковое и среднее значения в секции опций трассировки, как показано далее:

Вы увидите, что только сигнал верной последовательности (синий график) местами выходит за пиковое значение (зеленый график), тем самым показывая, что это постоянный канал. Теперь нужно начать декодирование. В окне нажимаем на середину этого самого частотного скачка. Вы можете увидеть ошибки, но это нормально. Я начал получать данные таким способом:

Теперь вы можете заметить, что gsm-данные приходят в wireshark. Как я упоминал в начале статьи, синхронизирующий сигнал плавает, поэтому для поддержания заданной частоты вам необходимо продолжать кликать на схему. Тем не менее, программа работает довольно хорошо. Как бы смешно это не звучало, но, обернув ваш hack rf в полотенце (или что-то подобное), вы повысите термальную стабильность синхронизирующего сигнала и уменьшите разброс. Сам по себе этот способ наверняка не покажется вам очень полезным, но я думаю, как минимум, он показывает огромный потенциал HackRF.

Наверное, даже домохозяйки знают, что публичные точки Wi-Fi небезопасны. Что не мешает рядовым юзерам вовсю ими пользоваться - ведь если нельзя, но скучно и очень хочется, то можно! И без всякого VPN - хотя функцию VPN теперь внедряют даже в комплексные антивирусные продукты. Здоровой альтернативой Wi-Fi всегда считалось обычное мобильное подключение, тем более что с каждым годом оно становится все дешевле, а скорость его все выше. Но так ли оно безопасно, как нам кажется? В этой статье мы решили собрать основные вопросы и ответы, посвященные перехвату мобильных данных, и определиться, стоит ли его опасаться обычному, далекому от сокровенных тайн пользователю.

Что такое IMSI-перехватчик?

Это такое устройство (размером с чемодан или даже всего лишь с телефон), которое использует конструктивную особенность мобильников - отдавать предпочтение той сотовой вышке, чей сигнал наиболее сильный (чтобы максимизировать качество сигнала и минимизировать собственное энергопотребление). Кроме того, в сетях GSM (2G) только мобильник должен проходить процедуру аутентификации (от сотовой вышки этого не требуется), и поэтому его легко ввести в заблуждение, в том числе чтобы отключить на нем шифрование данных. С другой стороны, универсальная система мобильной связи UMTS (3G) требует двусторонней аутентификации; однако ее можно обойти, используя режим совместимости GSM, присутствующий в большинстве сетей. Сети 2G по-прежнему широко распространены - операторы используют GSM в качестве резервной сети в тех местах, где UMTS недоступна. Более глубокие технические подробности IMSI-перехвата доступны в отчете научно-исследовательского центра SBA Research . Еще одно содержательное описание, ставшее настольным документом современных киберконтрразведчиков, - это статья «Ваш секретный скат, больше вовсе не секретный », опубликованная осенью 2014 года в Harvard Journal of Law & Technology.

Когда появились первые IMSI-перехватчики?

Первые IMSI-перехватчики появились еще в 1993 году и были большими, тяжелыми и дорогими. «Да здравствуют отечественные микросхемы - с четырнадцатью ножками... и четырьмя ручками». Изготовителей таких перехватчиков можно было пересчитать по пальцам, а высокая стоимость ограничивала круг пользователей - исключительно государственными учреждениями. Однако сейчас они становятся все более дешевыми и все менее громоздкими. Например, Крис Пейдж построил IMSI-перехватчик всего за 1500 долларов и представил его на конференции DEF CON еще в 2010 году. Его версия состоит из программируемого радио и бесплатного программного обеспечения с открытым исходным кодом: GNU Radio, OpenBTS, Asterisk . Вся необходимая разработчику информация находится в открытом доступе. А в середине 2016 года хакер Evilsocket предложил свою версию портативного IMSI-перехватчика всего за 600 долларов.

Как IMSI-перехватчики монополизируют доступ к мобильнику?

  • Обманывают твой мобильник, заставляя его думать, что это единственное доступное соединение.
  • Настраиваются таким образом, что без посредничества IMSI-перехватчика ты не можешь сделать вызов.
  • Подробнее о монополизации читай в публикации научно-исследовательского центра SBA Research: IMSI-Catch Me If You Can: IMSI-Catcher-Catchers .

Ассортимент продаваемых перехватчиков вызывает уважение. А что насчет кустарных поделок?

  • Сегодня (в 2017 году) предприимчивые технические специалисты изготавливают IMSI-перехватчики, пользуясь доступными в открытой продаже высокотехнологичными коробочными компонентами и мощной радиоантенной, и затрачивают при этом не больше 600 долларов (см. версию IMSI-перехватчика хакера Evilsocket). Это что касается стабильных IMSI-перехватчиков. Но есть и экспериментальные, более дешевые, которые работают нестабильно. Например, в 2013 году на конференции Black Hat была представлена версия нестабильного IMSI-перехватчика , общая стоимость аппаратных компонентов которого составила 250 долларов. Сегодня подобная реализация обошлась бы еще дешевле.
  • Если вдобавок учесть, что современная западная высокотехнологичная военная техника имеет открытую архитектуру аппаратного обеспечения и открытый код программного обеспечения (это сегодня обязательное условие, чтобы обеспечить совместимость разрабатываемых для военных нужд программно-аппаратных систем), - у разработчиков, заинтересованных в изготовлении IMSI-перехватчиков, есть все козыри для этого. Об этой современной тенденции военного хай-тека можно почитать в журнале Leading Edge (см. статью «Преимущества SoS-интеграции », опубликованную в февральском выпуске журнала за 2013 год). Не говоря уже о том, что недавно Министерство обороны США выразило свою готовность заплатить 25 миллионов долларов подрядчику, который разработает эффективную систему для радиоидентификации (см. апрельский выпуск ежемесячного журнала Military Aerospace, 2017). Одно из основных требований, предъявляемых к этой системе, - должны быть открытыми ее архитектура и компоненты, из которых она будет состоять. Таким образом, открытость архитектуры - это сегодня обязательное условие совместимости разрабатываемых для военных нужд программно-аппаратных систем.
  • Поэтому изготовителям IMSI-перехватчиков даже большой технической квалификацией обладать не нужно - нужно только уметь подобрать комбинацию уже существующих решений и поместить их в одну коробку.
  • Кроме того, современная - дешевеющая непомерными темпами - микроэлектроника позволяет вместить свою кустарную поделку не только в одну коробку, но даже (!) в один чип (см. описание концепции SoC) и даже более того - настроить внутричиповую беспроводную сеть (см. описание концепции NoC по той же ссылке), которая приходит на смену традиционным шинам передачи данных. Что уж говорить об IMSI-перехватчиках, когда в открытом доступе сегодня можно найти даже технические подробности об аппаратных и программных компонентах суперсовременного американского истребителя F-35.

Могу ли я стать жертвой «случайного перехвата»?

Вполне возможно. Имитируя сотовую вышку, IMSI-перехватчики прослушивают весь локальный трафик - куда в числе прочего попадают и разговоры невинных прохожих (читай «откровения старшей сестры Большого Брата »). И это любимый аргумент «адвокатов неприкосновенности частной жизни», выступающих против использования IMSI-перехватчиков силовыми структурами, которые применяют это высокотехнологичное оборудование для выслеживания преступников.

Как IMSI-перехватчик может отслеживать мои перемещения?

  • Чаще всего IMSI-перехватчики, используемые местными силовыми структурами, применяются для трассировки.
  • Зная IMSI целевого мобильника, оператор может запрограммировать IMSI-перехватчик, чтобы он связывался с целевым мобильником, когда тот находится в пределах досягаемости.
  • После подключения оператор использует процесс картографирования радиочастот, чтобы выяснить направление цели.

Могут ли они слушать мои звонки?

  • Это зависит от используемого IMSI-перехватчика. Перехватчики с базовой функциональностью просто фиксируют: «в таком-то месте находится такой-то мобильник».
  • Для прослушивания разговоров IMSI-перехватчику требуется дополнительный набор функций, которые производители встраивают за дополнительную плату.
  • 2G-вызовы прослушиваются легко. IMSI-перехватчики для них доступны уже более десяти лет.
  • Стоимость IMSI-перехватчика зависит от количества каналов, рабочего диапазона, типа шифрования, скорости кодирования/декодирования сигнала и от того, какие радиоинтерфейсы должны быть охвачены.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «сайт», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!

Переходим к рассмотрению взлома GSM. Статьи про уязвимости в A5/1 появились около 15 лет назад, но публичной демонстрации взлома A5/1 в ус- ловиях реального мира до сих пор не было. Более того, как видно из описания работы сети надо понимать, что помимо взлома самого алгоритма шифрования нужно решить еще ряд сугубо инженерных проблем, которые обычно всегда опускаются из рассмотрения (в том числе на публичных демонстрациях). Большинство статей по взлому GSM опираются на статью Эли Баркана в 2006 году и исследование Карстена Нола (Karsten Noh). В своей статье Баркан с соавторами показал, что т.к. в GSM коррекция ошибок идет до шифрования (а надо бы наоборот), возможно определенное уменьшение пространства поиска для подбора KC и реализация known– ciphertext атаки (при полностью пассивном прослушивании эфира) за прием- лемое время с помощью предварительно вычисленных данных. Сами авторы статьи говорят, что при приеме без помех для взлома в течение 2 минут требуется 50 терабайт предвычисленных данных. В той же статье (в разделе про A5/2) указывается, что сигнал из эфира всегда идет с помехами, которые усложняют подбора ключа. Для A5/2 приведен измененный алгоритм, который способен учитывать помехи, но при этом требует вдвое большего объема предвычисленных данных и, соответственно, время взлома увеличивает в два раз. Для A5/1 указана возможность построения аналогич- ного алгоритма, но сам он не приведен. Можно предположить, что в этом случае также нужно увеличить объем предвычисленных данных вдвое. Процесс подбора ключа A5/1 является вероятностным и зависит от времени, т.е. чем дольше идет прослушивание, тем больше вероятность подобрать KC. Таким образом, заявленные в статье 2 минуты – это примерное, а не гарантированное время подбора KC. Карстен Нол разрабатывает самый известный проект по взлому GSM сетей. Его фирма, занимающаяся проблемами компьютерной безопасности, собиралась к концу 2009 года выложить в открытый доступ радужные таблицы сессионных ключей алгоритма A5/1, который используется для шифрования речи в сетях GSM. Свой демарш против A5/1 Карстен Нол объясняет желанием привлечь внимание общественности к существующей проблеме и заставить операторов связи переходить на более совершенные технологии. Например, технология UMTS предполагает использование 128 битного алгоритма A5/3, стойкость которого такова, что никакими доступными средствами на сегодняшний день взломать его не удастся. По расчетам Карстена, полная таблица ключей A5/1 в упакованном виде будет занимать 128 петабайт и распределенно храниться на множестве компьютеров в сети. Для ее расчета потребуется около 80 компьютеров и 2–3 месяца работы. Существенное уменьшение времени вычислений должно оказать использование современных CUDA графических карт и программируемых массивов Xilinx Virtex. В частности много шума наделало его выступление на 26С3 (Chaos Communication Congress) в декабре 2009 года. Кратко сформулировать суть выступления можно так: в скором времени можно ожидать появление бюджетных системы для онлайн декодирования A5/1. Переходим к инженерным проблемам. Как получить данные из эфира? Для перехвата разговоров надо иметь полноценный сканер, который должен уметь разбираться, какие базовые вещают вокруг, на каких частотах, каким операторам они принадлежат, какие телефоны с какими TMSI в настоящий момент активны. Сканер должен уметь следить за разговором с указанного телефона, корректно обрабатывать переходы на другие частоты и базовые станции. В интернете есть предложения по приобретению подобного сканера без дешифратора за 40–50 тыс. долларов. Это нельзя назвать бюджетным устройством. Таким образом, для создания прибора, который после несложных манипуляций мог начинать прослушивать разговор по телефону, необходимо:


а) реализовать часть, которая работает с эфиром. В частности, позволяет указать, какой из TMSI соответствует искомому телефону или с помощью активных атак заставить телефоны «обнаружить» свои реальные IMSI и MSISDN;

б) реализовать алгоритм подбора KC для A5/1, хорошо работающий на реальных данных (с помехами/ошибками, пропусками и т.п.);

г) объединить все эти пункты в законченное работающее решение.

Карстен и остальные исследователи в основном решают пункт «в». В частности он его коллеги предлагают использовать OpenBTS, airdump и Wireshark для создания перехватчика IMSI (IMSI catcher). Пока можно сказать, что это устройство эмулирует базовую станцию и встраивается между MS и настоящей базовой станцией. Докладчики утверждают, что SIM–карта легко может запретить телефону показывать, что он работает в режиме шифрования A5/0 (т.е. без шифрования вообще) и что большинство SIM–карт в обороте именно такие. Это действительно возможно. В GSM 02.07, написано (Normative Annex B.1.26), что SIM–карта содержит специальный бит OFM в поле Administrative , который при значении равном единице, приведет к запрету индикации шифрования соединения (в виде амбарного замочка). В GSM 11.11 указаны следующие права доступа к этому полю: чтение доступно всегда, а права на запись описаны как «ADM». Конкретный набор прав, регулирующих запись в это поле, задается оператор на этапе создания SIM–карт. Таким образом, докладчики надеются, что большая часть карт выпускается с установленным битом и телефоны у них действительно не показывают индикацию отсутствия шифрования. Это действительно существенно облегчает работу IMSI сatcher–а т.к. владелец телефона не может обнаружить отсутствие шифрования и что–то заподозрить. Интересная деталь. Исследователи столкнулись с тем, что прошивки телефонов тестируются на соответствие спецификациям GSM и не тестируются на обработку нештатных ситуаций, поэтому, в случае некорректной работы базовой станции (например, «подставная» OpenBTS, которая использовалась для перехвата) телефоны зачастую зависают. Наибольший резонанс вызвало заявление, что всего за $1500 можно из USRP, OpenBTS, Asterisk и airprobe собрать готовый комплект для прослушивания разговоров. Эта информация широко разошлась по Интернету, только авторы этих новостей и производных от них статей забыли упомянуть, что сами докладчики деталей не предоставили, а демонстрация не состоялась. В декабре 2010 года Карстен и Мунот (Sylvain Munaut) снова выступил на конференции 27С3 с докладом про перехват разговоров в GSM сетях. На этот раз они представили более полный сценарий, но в нем присутствует множество «тепличных» условий. Для обнаружения местоположения они используют интернет–сервисы, которые дают возможность вбрасывать в сеть SS7 запросы «send routing info». SS7 – это сеть/стек протоколов, которые используются для общения телефонных операторов (GSM и «наземных») друг с другом и для общения компонент сети GSM друг с другом. Далее авторы делают ссылку на реализацию мобильной связи в Германии. Там полученное в результате запроса RAND хорошо коррелирует с кодом региона (area code/zip code). Поэтому такие запросы там дают возможность определить с точностью до города или даже части города, где в Германии находится этот абонент. Но так делать оператор не обязан. Теперь исследователи знают город. После этого они берут сниффер, едут в найденный ранее город и начинают посещать все его LAC. Приехав на территорию, которая входит в какой–то LAC, они посылают жертве SMS и слушают, идет ли пейджинг(paging) телефона жертвы (это происходит по незашифрованному каналу, во всех базовых сразу). Если вызов есть, то они получают сведения о TMSI, который был выдан абоненту. Если нет – едут проверять следующий LAC. Необходимо заметить, что т.к. IMSI при пейджинге не передается (и исследователи его не знают), а передается только TMSI (который они и хотят узнать), то производится «атака по времени» (timing attack). Они посылают несколько SMS с паузами между ними, и смотрят, для каких TMSI производится пейджинг, повторяя процедуру до тех пор, пока в списке «подозрительных» TMSI не останется только один (или ни одного). Чтобы жертва не заметила такого «прощупывания», посылается такой SMS, который не будет показан абоненту. Это или специально созданный flash sms, или неверный (битый) SMS, который телефон обработает и удалит, при этом пользователю ничего показано не будет. Выяснив LAC, они начинают посещать все соты этого LAC, посылать SMS–ки и слушать отклики на пейджинг. Если есть ответ, то жертва находится вот в этой соте, и можно начинать взламывать ее сессионный ключ (KC) и слушать ее разговоры. Перед этим необходимо записать эфир. Здесь исследователи предлагают следующее:

1) существуют производимые на заказ FPGA–платы, которые способны одновременно записывать все каналы либо uplink (канал связи от абонента (телефона или модема) к базовой станции сотового оператора), либо downlink (канал связи от базовой станции к абоненту) частот GSM (890–915 и 935–960 МГц соответственно). Как уже было отмечено, стоит такое оборудование 40– 50 тыс. долларов, поэтому доступность такого оборудования для простого ис- следователя безопасности сомнительна;

2) можно брать менее мощное и более дешевое оборудование и слушать часть частот на каждом из них. Такой вариант стоит примерно 3,5 тыс. евро с решением на базе USRP2;

3) можно сначала сломать сессионный ключ, и потом декодировать траффик «на лету» и следовать за сменой частоты (frequency hopping) при помощи четырех телефонов, у которых вместо родной прошивки стоит альтернативная прошивка OsmocomBB. Роли телефонов: 1–й телефон используется для пейджинга и контроля ответов, 2–й телефон выделен абоненту для разговора. При этом каждый телефон должен писать и прием и передачу. Это очень важный пункт. До этого момента OsmocomBB фактически не работал и за год (с 26С3 до 27С3) OsmocomBB был доделан до пригодного к использованию состояния, т.е. до конца 2010 года не было практического работающего решения. Взлом сессионного ключа. Находясь в одной соте с жертвой, они посылают ей SMS, записывают общение жертвы с базовой, и взламывают ключ, пользуясь тем, что во время установления сессии (session setup) происходит обмен множеством полупустых пакетов или с предсказуемым содержимым. Для ускорения взлома используются радужные таблицы. На момент проведения 26C3 эти таблицы были не так хорошо заполнены и взлом делался вовсе не за минуты и даже не за десятки минут (авторы упоминают час). То есть, до 27C3 даже у Карстена (основного исследователя в этой области) не было решения, которое позволяло взломать KC за приемлемое время (в течении которого, скорее всего, не произойдет смена сессионого ключа (rekeying)). Затем исследователи пользуются тем, что смена ключа редко делается после каждого звонка или SMS и сессионный ключ, который они узнали, не будет меняться в течение какого–то времени. Теперь, зная ключ, они могут декодировать зашифрованный траффик к/от жертвы в режиме реального времени, и делать смену частоты (frequency hopping) одновременно с жертвой. Для захвата эфира в этом случае реально достаточно четырех перепрошитых телефонов, так как не требуется писать все частоты и все таймслоты. Исследователи продемонстрировали эту технологию в работе. Правда «жертва» сидела на месте и обслуживалась одной сотой. Подводя промежуточный итог можно утвердительно ответить на вопрос о возможности перехвата и расшифровке на лету GSM разговоров. При этом надо иметь помнить следующее:

1) Технология, описанная выше не существует в виде, доступном для любого желающего (в т.ч. script kiddies). Это даже не конструктор, а заготовка для деталей конструктора, которые надо доделывать до пригодного к исполь- зованию состоянию. Исследователи неоднократно замечают, что у них нет четких планов по выкладыванию в общий доступ конкретики реализации. Это означает, что на основании этих наработок производители Ближнего Востока не изготавливают массово устройства за 100 долларов, которые могут слушать все.

2) OsmocomBB поддерживает только одно семейство чипов (хотя и самое распространенное).

3) Способ определения местоположения по запросам к HLR и перебору LAC работает скорее в теории, чем на практике. На практике злоумышленник или знает, где находится жертва физически, или не может попасть в туже соту что и жертва. Если злоумышленник не может послушать ту же соту, в ко- торой находиться жертва, то способ не работает. В отличие от демонстрации, в реальности в средней по нагрузке LA присутствуют тысячи пейджинговых сообщений. Более того, пейджинг работает не в момент отправки, а в определенные временные окна и пачками (по пейджинг–группам со своими очередями, номер которой есть остаток от деления IMSI на количество каналов, которое в каждой соте может быть свое), что опять усложняет реализацию.

4) Допустим, LA найден. Теперь надо “нащупать” ответ абонента. Передатчик телефона имеет мощность 1–2 ватта. Соответственно, проскани- ровать его с расстояния нескольких десятков метров тоже является задачей (не простой). Получается парадокс: LA накрывает, например, целую область (город). В ней, например, 50 сот, у некоторых из которых радиус действия доходит до 30 км. Мы пытаемся поймать и расшифровать на ненаправленную антенну излучение. Для реализации этой задачи в таком варианте требуется много оборудования. Если же исходить из предпосылки, при которой жертва находиться в прямой видимости, т.е. расстояния, на котором перехват выгля- дит более реалистичным, намного эффективнее и проще направленный мик- рофон. Надо отметить, что на демонстрации исследователи перехватывают свои телефоны на расстоянии 2–х метров.

5) Перемещение жертвы между сотами также вызывает проблемы, т.к. вам также надо перемещаться вместе с ней.

6) Телефоны, используемые в демонстрации, требуют аппаратной модификации, в них нужно убрать фильтр с антенны, в противном случае теле- фоны «чужой» uplink не «увидят». Фильтр в телефоне нужен для того что бы «слушать» не все частоты, а только «свою».

7) Если в сети регулярно происходит смена ключа (rekeying) или меняются TMSI (ни один из исследователей не учитывал это), то это способ не работает вообще или работает очень плохо (время расшифровки может оказаться больше чем время разговора).

8) Прослушивать всю сеть не получится, надо знать номер телефона.